Android Macher 업데이트 관련 이슈

은행 어플리케이션을 대상으로 하는 안드로이드 악성 코드는 안드로이드 에코 시스템을
오랫동안 괴롭혀 왔습니다.
최근 Android 용 Marcher의 업데이트가 되었는데, 이 새로운 버전은 보안 분석가와 자동화 된

샌드 박스 엔진에 의한 탐지를 피하는 새로운 방법을 제공합니다.
오늘은 Android Marcher 업데이트 관련 이슈에 대해 포스팅 하도록 하겠습니다.

 

이 새로운 버전의 Marcher는 자동화 된 멀웨어 분석 엔진을 피하고 샘플을 분석하기 어렵도록

하기위해 중요한 문자열을 숨기려고 시도합니다.
Apk에 있는 클래스 파일 중 하나에는 문자열 Heap이 들어있지만 모든 문자는 ** apiz의 경우

아래와 같이 **[izn**] 또는 **iCp **와 같이 **[세 문자] **로 구분됩니다

 

 

코드는 코드에서 실제 문자열을 사용하는 대신 이러한 난독화 문자열에 대한 참조를 사용합니다.
여기에 적절한 문자열을 대체하여 모든 클래스 파일을 다시 만들어 읽을 수 있는 코드를 생성했습니다.
그러한 인스턴스 중 하나가 아래에 강조 표시되어 있습니다.

 

 

구형 변종과 다른 이 Marcher 변종을 설정하는 것이 새로운 에뮬레이션 검사입니다.
이 새로운 변형은 에뮬레이트 된 환경에서 실행 되는것을 발견하자마자 실행을 중지합니다.
반 에뮬레이션 검사는 코드에서 다음과 같이 강조 표시합니다.

 

 

에뮬레이트된 Android 환경에 고유한 데이터 요소는 거의 없습니다.

 

다음은 멀웨어가 수행하는 검사와 에뮬레이터의 기본값입니다.

 

• Build.FINGERPRINT.startsWith "generic" or "unknown"
• Build.MODEL.contains "google_sdk" or "Emulator" or "Android SDK built for x86"
• Build.MANUFACTURER.contains "Genymotion" Build.MANUFACTURER.contains "Genymotion"
• Build.BRAND.startsWith "generic" Build.BRAND.startsWith "generic"
• Build.DEVICE.startsWith "generic" Build.DEVICE.startsWith "generic"
• Build.HARDWARE.contains "golfdish" or "ranchu"
• Build.PRODUCT equals "google_sdk" or "sdk_x86" or "vbox86p" or "generic"
• IMEI = 000000000000000, 012345678912345 or 004999010640000
• IMSI = 012345678912345 IMSI = 012345678912345
• NetworkOperatorName is empty
• SimOperatorName is empty

 

앱에 대상 뱅킹 앱 목록이 포함되어 있습니다.
이러한 앱이 열려 있으면 다른 로그인 화면이 표시됩니다.
피해자가 이러한 위조 된 화면에 입력 한 인증서는 캡처 되어 공격자에게 전송됩니다.

 

또한 앱은 기기에 설치된 수많은 안티 바이러스 앱이 있는지 기기를 확인합니다.
위의 두 가지 시나리오에 대한 코드는 다음과 같습니다.

 

전반적으로 이러한 새로운 Marcher 샘플은 멀웨어 제작자가 멀웨어를 혁신 및 발전 시키는

새로운 방법을 제공하기 위해 끊임없이 노력하는 방식을 한번 더 나타냅니다.

 

이러한 Marcher에 감염이 되었다면 공장초기화를 하는 방법 밖에 없습니다.

 

오늘은 Android용 Marcher 업데이트 관련 이슈에 대해 포스팅하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.